分层安全用于通用客户端设备（uCPE）部署的准则

分层是一种众所周知的安全策略。通过使用层，我们增加了穿透的难度并减少了出现故障带来的影响。

以下是将分层安全应用于通用客户端设备（uCPE）部署的一些准则。uCPE层包括平台层（管理、虚拟化和网络），应用层以及管理和编排（MANO）层。

uCPE由在标准操作系统上运行的软件虚拟网络功能（VNF）组成，该系统托管在标准服务器上。理想的uCPE部署应支持多厂商多组件构建，强调多层安全的需求。

平台层安全：管理

平台层为其他安全层提供基础，以下是保护平台管理所需的功能：

• 命令行界面（CLI）必须支持基于角色的多权限接入，限制特定命令的访问
• 阻止根操作系统在以太网端口和串行端口上登录
• 支持基于SSH密钥的登录，以防止密码泄漏
• 系统应具有启用/禁用帐户的能力，并在多次登录失败的情况下锁定帐户
• 使用嵌入式云架构来最小化攻击面
• 支持Radius和TACACS+认证选项
• 使用工具来增强安全性：自动扫描源代码、自动扫描网络端口、应用所需的修补程序

平台层安全：虚拟化层和VNF

接下来是平台的虚拟化层，包括VNF。这里假设VNF正在虚拟机（VM）中运行，这很大程度上也适用于集装箱。

下述要求可以防止VNF逃脱，即保护VNF不受彼此影响：

• VNF应作为虚拟机运行而不是容器，减少VNF暴露给主机的漏洞
• VM应作为“qemu”用户（即非root用户）执行，从而限制继承权
• 每个虚拟机应该是一个独立的Linux进程，因此虚拟机无法访问分配给另一个进程的内存
• 应为每台虚拟机分配一个指定的CPU和RAM，以确保为系统管理保留资源
• 应强制执行网络流量隔离，以确保网络接口混杂的VM无法通过vSwitch查看其他VNF或管理平面的流量

下述要求可防止恶意管理系统连接到管理程序：

• 对vSwitch接口的管理访问应受到正常的用户帐户管理和认证
• 一旦通过身份验证，平台应提供一个身份验证令牌符，该令牌符必须在所有后续API调用的“X-Auth-Token”头中提供，并指定唯一会话
• 应将每个会话的持久性函数（如配置锁）绑定到此令牌
• 最后，应支持VNF认证，以确认运行VNF匹配VNF映像存储的完整性，防止映像执行损坏。

平台层安全 - 网络和物理

接下来是确保网络安全的要求：

• 平台应实现多种网络选项，包括E-LAN、E-Tree和多重安全VRF
• 服务链段应作为vSwitch内的E-LAN服务构建。通过VLAN隔离确保云网络中租户之间的隔离
• 对于第3层转发，平台应支持VRF实例，每个VRF实例都是唯一且隔离的转发实体，它使用独立的路由表和ARP表进行隔离
• 应通过使用IKE连接到标准安全网关来确保管理网络的安全
• 管理防火墙保护应分配给所有类型的物理/逻辑接口。这样做可以防止不必要的VNF数据平面接入运营商管理网络
• 平台应广泛支持开放服务器，包括那些带RF屏蔽以限制辐射的服务器和防篡改设备，以支持安全认证，如FIPS

应用程序层安全

安全平台的重点是托管VNF以构建服务。需要确保VNF支持的服务的安全性：

• 该平台应该在2层、3层或4层上提供基于软件的数据层流量加密
• 平台应该针对性能进行优化，以便支持计算密集型VNF，如最佳防火墙或UTM系统
• 应该按照上面列出的平台层管理安全性来构建VNF

MANO层安全

在MANO层提供安全性的要求包括：

• 在客户现场实施双重认证以启用uCPE
• 提供管理和用户通道加密
• 支持TACACS +认证选项
• 提供分离库存、配置和控制流量的多用户MANO，并提供基于角色的访问
• 本地存储的密码进行强制加密

把所有结合起来

服务提供商希望通过组装基于uCPE部署模型的多厂商系统来获得云的优势。通过执行上面列出的要求，他们可以最大限度地利用这些优势，同时最大限度地减少安全威胁。